アクセス制御ポリシーを設定すると、Cloud Firewall はトラフィックを 4-タプル、アプリケーションタイプ、ドメイン名の順に照合します。Cloud Firewall がトラフィックのアプリケーションタイプまたはドメイン名を識別できない場合、サービス継続性を確保するために、デフォルトでトラフィックを許可します。これを防ぐために、厳格モードを有効にできます。
Cloud Firewall のトラフィック照合方法
アクセス制御ポリシーを設定すると、Cloud Firewall は各パケットを 4-タプル (送信元アドレス、宛先アドレス、宛先ポート、トランスポート層プロトコル)、アプリケーションタイプ、またはドメイン名と照合してトラフィックを検査します。
緩いモード: Cloud Firewall がパケットのアプリケーションタイプまたはドメイン名を識別できない場合、これらの基準に基づいてポリシーを評価する際に、デフォルトでトラフィックを許可します。
アクセス制御ポリシーは、ANY 以外のアプリケーションタイプで設定されています。
ドメイン名が設定されており、ドメイン名照合モードが FQDN ベースの動的解決 (Host/SNI フィールド抽出) または FQDN および DNS ベースの動的解決 に設定されています。
厳格モード: Cloud Firewall は、未識別のアプリケーションタイプまたはドメイン名を持つトラフィックを自動的に許可しません。代わりに、優先順位に従って次のポリシーに対してトラフィックの評価を続行します。一致が見つかった場合、Cloud Firewall はポリシーのアクション (許可または拒否) を適用します。すべてのポリシーが評価された後もトラフィックがいずれのアクセス制御ポリシーとも一致しない場合、Cloud Firewall はデフォルトでトラフィックを許可します。
厳格モードを有効にした後、Cloud Firewall が正当なトラフィックを誤ってドロップした場合、必要なアプリケーションプロトコル情報をリクエストパケットに追加するか、緩いモードに戻してください。
新しい VPC ファイアウォールの場合、厳格モードはデフォルトで有効になっています。
厳格モードの有効化または無効化
インターネット境界ファイアウォールと NAT ファイアウォールのアクセス制御エンジンモードを設定できます。デフォルトでは、エンジンモードは ルーズモード に設定されています。このモードでは、Cloud Firewall は未識別のアプリケーションタイプまたはドメイン名を持つトラフィックを許可し、サービスの中断を防ぎます。必要に応じて 厳格モード に切り替えることができます。
インターネット境界ファイアウォールのアクセス制御エンジンモードを切り替えるには、「インターネット境界ファイアウォールのアクセス制御エンジンモードを設定する」をご参照ください。
NAT ファイアウォールのアクセス制御エンジンモードを切り替えるには、「NAT ファイアウォールのアクセス制御エンジンモードを設定する」をご参照ください。
よくある質問
未識別トラフィックログの表示方法
Cloud Firewall コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[] タブで、Rule Source を アクセス制御 に設定します。[All Pre-match Access Control Policy Statuses] 検索ボックスで、アプリケーションが識別されていません または ドメイン名が識別されていません を選択して、関連するログを検索します。
時間、送信元 IP アドレス、宛先 IP アドレス、宛先ポートなどの詳細について、トラフィックログを確認します。
関連ドキュメント
アクセス制御ポリシーの仕組みの概要については、「アクセス制御ポリシーの概要」をご参照ください。
インターネット境界ファイアウォールのアクセス制御ポリシーを設定するには、「インターネット境界ファイアウォールのアクセス制御ポリシーを設定する」をご参照ください。
トラフィックログとそのフィールドの説明の詳細については、「ログ監査」をご参照ください。